論信息網絡風險下的隱私權法律保護

范進學 張玉潔

(上海交通大學凱原法學院,上海 200240;山東大學法學院,山東濟南 250100)

論信息網絡風險下的隱私權法律保護

范進學 張玉潔

(上海交通大學凱原法學院,上海 200240;山東大學法學院,山東濟南 250100)

隨著信息網絡的不斷發(fā)展和發(fā)達,不僅極大地增加了隱私被侵犯的可能,而且加重了侵犯后果,責任追索邏輯的失效也在一定程度上加劇了這一局面。鑒于美國的行業(yè)自律模式、歐盟的立法規(guī)制模式和“安全港”模式自成體系、各有利弊,我國應取長補短,構建自己的特色模式,加快隱私權保護的相關立法。

信息網絡風險;隱私權;保護模式;責任邏輯

一、信息網絡風險下隱私權保護的難題

英國學者斯科特·拉什曾指出:“始料不及的風險和危險將不再是由工業(yè)社會的物質化生產過程中所產生的風險和危險,而是從信息領域、從生物技術領域、從通訊和軟件領域產生出的新的風險和危險?！雹賉英]斯科特·拉什:《風險社會與風險文化》,王武龍譯,《馬克思主義與現實》2002年第4期,第63頁。的確,自從進入信息網絡時代以來,“黑客”侵入個人電腦盜取數據、商家倒賣用戶資料、網站監(jiān)視個人活動、垃圾郵件泛濫、網站使用cookies追蹤個人網頁瀏覽習慣,以及“人肉搜索”等個人隱私受到侵害的事件層出不窮,網絡時代的信息全球化給個人隱私帶來的風險比以前的任何時代都要大得多。

風險是具有某種程度危險或災難的可能性,它與危險或災難不同,并非一種確定的后果,而是一種發(fā)生此種后果的現實可能性,是一種“虛擬的現實,現實的虛擬”。信息網絡風險下隱私權保護的難題在于:

第一,信息網絡的發(fā)展大大增加了隱私被侵犯的可能性。信息的網絡化不僅使人們獲取信息更加方便快捷,使得我們可以用虛擬的名字、虛擬的身份跟人交流,使得非隱私隱私化;卻也帶來了各種信息的公開,使得隱私非隱私化,②參見王治東:《虛擬世界與私人生活空間——關于網絡隱私的哲學文化思考》,《理論界》2008年第1期,第95-96頁。侵犯他人隱私的可能性成倍增加:首先,互聯網的出現增加了人們的隱私,如各種賬戶、密碼、網絡空間等等。其次,各種生活方式向網絡的發(fā)展也使得原本極易控制的信息暴露在網絡風險之下,如原本紙質的戶籍信息被存入電腦,掛在網上,成為電子數據;與此同時,用戶為了參與各種網絡行為,往往需要把牽扯自己隱私的內容透露給有關網絡或企業(yè),而網絡組織利用電腦強大的統(tǒng)計傳輸技術,可以獲得大量網民私人信息。再次,用戶無論如何加強保護意識,提高技術保護水平,在網絡日新月異的發(fā)展面前都顯得薄弱不堪、漏洞百出。在信息網絡世界里,不僅可能被侵犯的私人信息增加了,侵犯隱私的障礙也變少了。正如李倫所說,“任何一個人在網絡世界里只要擁有一臺電腦,一個調制調解器和一部電話,就可以進入你的私生活最隱秘之處,把你的個人記錄一覽無余?！雹劾顐?《鼠標下的德性》,江西人民出版社2002年版,第261頁。

第二,信息網絡的全球化使得隱私侵犯的后果難以控制。美國斯坦福大學的達雷爾·曼斯(DarrelMen2 the)博士提出了“第四國際空間”的理論,認為網絡空間是除南極洲、太空和公海這三大空間之外的第四個國際空間。在這一空間中,網絡信息的發(fā)布、傳播方式極大地超越了傳統(tǒng)傳媒,一旦有用戶隱私泄露,就會在瞬間傳遍全球,影響范圍無法控制,侵害后果也難以估量。如此,缺乏他律的網絡就成了隱私權潛在的最大殺手。相對于難以控制的外部風險(external risk),信息網絡這一人造風險(manufactured risk)①這一區(qū)分來自吉登斯,外部風險指來自外部的、因為傳統(tǒng)或自然的不確定性和固定性所帶來的風險,比如地震、洪水等;人造風險是我們在以一種反思的方式組織起來的行動框架中要積極面對的風險,是由我們不斷發(fā)展的知識對這個世界的影響所產生的風險,是我們在沒有多少歷史經驗的情況下產生的風險,如核泄漏、全球變暖等。參見(英)安東尼·吉登斯、克里斯多弗·皮爾森:《現代性——吉登斯訪談錄》,新華出版社2001年版,第194-195頁。建立在人類經驗的匱乏之上:一方面更多的知識帶來了通訊技術的飛躍,提供了更多的安全和方便;另一方面,這些知識“不慎”涉入的領域卻為我們帶來了更多的無知和不確定,導致知識開辟的領域越多,無知的領域就越多的惡性循環(huán)。風險已經無法通過更多的知識來解決,啟蒙所開列的“知識越多、控制越強”的藥方已然失效。如果說在工業(yè)社會中,人們倚仗著計算理性來應對自然災難,那么,在后工業(yè)社會中,風險已經消解了人們對科學技術的安全機制的信賴,它只是用虛幻光環(huán)、教條教義的形式來維持著人們在風險——災難到來時的心理防線?！帮L險社會已經成為一個無法保險的社會”。我們能夠感知網絡給隱私帶來的風險,但卻不能確定風險的具體內容,更難以防止這種風險,相較于人的控制能力,風險則顯得太大。“網絡是個人隱私的終結者”,或許不是危言聳聽。

第三,風險社會阻斷了工業(yè)社會的責任邏輯,使得隱私侵犯責任的追索困難重重。在傳統(tǒng)的社會管理體制和發(fā)展價值觀下,政策制定者、企業(yè)、專家、媒體結成社會的精英聯盟,以物質財富的增長為發(fā)展的根本評價指標,崇尚科技理性,打造“消費社會”,然而正是這一價值觀累積、制造了當代社會中的風險,又造成了人類社會長期以來難以承擔真正的風險責任的局面。人們可以向一個又一個主管機構求助并要求它們負責,這些機構則會為自己開脫,說“我們與此毫無關系”,或者說“我們在這個過程中只是一個次要的參與者”。在這一過程中,是根本無法查明誰該負責的。②薛曉源、周戰(zhàn)超:《全球化與風險社會》,社會科學文獻出版社2005年版,第23頁。這就造成了事實上“有組織地不負責任”(organized irrespon2 sibility)③參見楊雪冬:《風險社會理論述評》,載《國家行政學院學報》2005年第1期,第88-89頁。的局面?！叭绻邢右傻恼厥抡叱杀对黾?那么結果就是沒有任何人受到判決”。④薛曉源、周戰(zhàn)超:《全球化與風險社會》,社會科學文獻出版社2005年版,第11頁。精英聯盟不僅制造了風險,又憑借傳統(tǒng)的制度機制和由他們所導控的話語體系來推卸、轉嫁責任,讓全社會共同分攤風險,造成社會發(fā)展的極端不公。第一次現代化⑤根據貝克的再現代化(也稱自反性現代化)理論,人類社會劃分為:前工業(yè)社會、工業(yè)社會與風險社會,前工業(yè)社會到工業(yè)社會的現代性是第一現代性,這一過程是第一次現代化過程;工業(yè)社會到風險社會的現代性是第二現代性、自反性現代性,這一過程是再現代化的過程。“進程中所提出的用以明確責任和分攤費用的一切方法手段在風險全球化的情況下已沒有任何作用,現代的科學、法律和政治手段已經越來越難以尋找證據、確定損害原因、責任主體和賠償范圍。這一責任困境在信息網絡環(huán)境下更為突出:如果有用戶隱私被不當公開,那么所有用戶都有可能收集、傳播,給當事人帶來極大傷害,“艷照門”和“人肉搜索”事件就是最為典型的例子。因果關系鏈條的斷裂、工業(yè)社會責任追索邏輯的失效,加劇了法律和社會現實的脫節(jié),“無法可依”、“法不責眾”的心理使得侵犯隱私更加猖獗。與此同時,精密的制度構造在風險來臨時的無法應對和風險管理悖論⑥風險管理悖論:減少風險的措施可能給處于風險中的相關人員造成更大的風險;為某個社會成員創(chuàng)造安全的舉措可能無意識地給另一個成員帶來更大的風險;減少風險的政策可能給所有社會成員帶來不安全;某個團體的樂觀行為可能對另一個團體產生意想不到的不安全;對一個團體的保護可能會造成對更多團體的傷害。顯然,風險管理悖論使得風險管理處于十分窘迫、被動的境地,更提示了現代治理機制的危機,必須進行全面改革。的發(fā)現,使得各種組織和個人更加難以承擔起事前預防和事后解決的責任。

二、信息網絡風險下隱私權法律保護機制的域外經驗

信息網絡風險下隱私權保護的國外立法,以美國的行業(yè)自律模式、歐盟的立法規(guī)制模式以及二者的妥協(xié)——“安全港”模式為代表。

(一)美國的行業(yè)自律保護模式

美國憲法第四修正案經過聯邦最高法院的解釋,⑦美國聯邦憲法第四修正案的內容是:“公民有權保護其身體、住所、文化與財產等不受無理拘捕、搜查、扣押和非法侵犯。除有正當理由,經宣誓或代宣誓言,并詳細說明搜查之地點、拘捕之人或扣押之物外,不得向公民發(fā)出搜查證、拘留證或扣押證?！甭摪钭罡叻ㄔ簩⑵浣忉尀楸Ｗo個人“對隱私的合理期待”(reasonable expectation of privacy)的條款。至此,美國侵犯隱私權的原則即確立:如果受害人存在對隱私的合理期待,行為人就構成侵權,反之則不構成侵權。成為了美國人心中“最直接提供個人隱私保障的基本條款”。⑧[美]愛倫·艾德曼、卡洛琳·肯尼迪:《隱私的權利》,吳懿婷譯,當代世界出版社2003年版,導論。在這一條款下,美國逐漸承認了隱私權并構建了相應的制度進行保護。1974年《隱私權法》是美國保護個人隱私權的最基本法律,該法不僅是一般隱私權保護的核心,也為其他領域隱私權保護的特殊立法奠定了最基本的原則。面對信息網絡帶來的風險,美國在此基礎之上,相繼制定了《電子通訊隱私法》、《兒童在線隱私保護法》、《反未經請求電子郵件法》、《反未經請求商業(yè)電子郵件法》、《反垃圾郵件法》等。雖然美國針對信息網絡風險下隱私權保護的立法并不少,但它們只是涉及一些侵犯比較嚴重、亟待保護的領域,并未形成完整的保護體系,事實上,對個人網絡隱私的保護更多地交給了行業(yè)自律。1997年克林頓政府公布了《全球電子商務發(fā)展框架》報告,其中把保護個人網絡隱私作為一項基本原則提了出來。報告強調,在保護個人網絡隱私方面,私營企業(yè)應當起到主導作用,政府支持私營部門為此進行自我規(guī)范。因為行業(yè)經營者與網絡個人用戶的共同努力要比政府的法規(guī)更有效,只有上述政策無效時,政府才會考慮制定相應的法規(guī)。除此之外,美國政府還提出了保護個人網絡隱私的兩個具體原則:一是知會原則、二是選擇權原則。在這兩大原則的指導下,美國越來越多的行業(yè)、企業(yè)紛紛制定了各自保護隱私權的規(guī)章和政策。1997年美國政府發(fā)布的《全球電子商務框架》報告,再次明確顯示了美國政府對于網絡隱私保護的態(tài)度:只有行業(yè)自律不能解決問題時,政府才考慮制定相應的法規(guī)。目前,美國企業(yè)逐漸發(fā)展了多種保護形式,主要有建議性的行業(yè)指引,通過行業(yè)聯盟發(fā)布建議性質的隱私保護規(guī)則,約束行業(yè)內涉及網絡隱私的行為;網絡隱私認證計劃,通過向符合隱私保護要求的網站頒發(fā)認證證書、允許其張貼隱私認證標志來鼓勵隱私保護;以及技術保護,通過開發(fā)隱私保護軟件支持用戶自己保護隱私。行業(yè)自律模式產生于美國貿易自由的商業(yè)文化之中,給予了企業(yè)更多的自主權,能夠根據不同的時代、技術和行業(yè)采用不同的標準,有利于信息網絡的自由發(fā)展和繁榮。

(二)歐盟的立法規(guī)制模式

歐盟沿襲德法的制定法傳統(tǒng),更多地通過立法保護隱私權。1980年經濟合作與發(fā)展組織(OECD)頒布了《保護隱私及跨國交流個人資料準則》,規(guī)定了七個方面的基本原則,分別是:數據質量原則,保護特殊類型數據的原則,數據安全,對數據主體的保護,例外與限制,賠償責任,以及擴大的保護。①參見(美)愛德華·勞森著:《人權百科全書》,四川人民出版社1997年版,第474頁。雖然該準則是自愿參加的,并沒有法律效力,但它是協(xié)調歐洲個人資料保護立法的第一次嘗試。②趙華明:《論網絡隱私權的法律保護》,《北京大學學報》2002年國內訪問學者、進修教師論文?？４撕?歐盟議會于1995年通過了《個人數據保護指令》,這一指令是歐盟保護網絡風險下隱私權的基本法律,幾乎包括了所有關于個人資料處理方面的規(guī)定,并確立了保障自然人自由和基本人權的原則。該指令還規(guī)定了數據主體的接觸的權利、更正刪除或封存?zhèn)€人資料的權利、反對的權利③《歐盟保護網民隱私的方法和經驗》,載“新浪網”,http://tech.sina.com.cn/i/2006-03-08/1757861518.shtml,2010年10月27日。等,和數據控制者的數據質量、數據處理的合法、敏感數據的處理和告知當事人④《國外隱私權保護縱覽》,載“徐滔法律服務網”,http://www.xutao.com/bbs/posts/list/21485.page,2010年10月27日。等義務,全面保護了個人數據。該指令還要求歐盟十五國出臺達到指令所規(guī)定標準的法律來保護個人資料。1996年歐盟理事會通過《電子通訊數據保護指令》,對《個人數據保護指令》進行了補充和修正。與此同時,還有1998年《私有數據保密法》、1999年的《網上個人隱私權保護的一般原則》、《關于網上軟件、硬件進行的不可見的和自動化的個人數據處理的建議》、《信息公路上個人數據收集、處理過程中個人權利保護指南》等相關法規(guī),為用戶和網絡服務商提供了清晰可循的隱私權保護原則;以及2001年規(guī)范歐共體職能機構組織處理和傳播個人信息的專門規(guī)章《關于在歐盟內部處理和自由流動個人數據的個人保護規(guī)章》,2002年的《隱私與電子通訊指令》等,至此,歐盟在其成員國內建立起統(tǒng)一有效的法律體系,給予隱私權更全面、嚴格的保護,以應對信息網絡風險給隱私權帶來的挑戰(zhàn)。

(三)“安全港”協(xié)議

歐盟不只在內部實行其隱私保護標準,而且極力向國際推展,不符合其保護標準的國家被禁止數據傳輸,而美國的行業(yè)自律模式并無統(tǒng)一的標準。在這一背景下,美國商務部和歐盟執(zhí)委會在2000年達成了“安全港”協(xié)議(Sage-HarborAgreement),形成了一種新的隱私保護模式?！鞍踩邸眳f(xié)議要求,如果美國產業(yè)對“安全港”原則(包括通知、選擇、轉送、安全、數據完整、渠道和執(zhí)行等七項內容)同意遵守,提出具體落實方案,并報有關部門或機構備案后,就可以在嚴格限制隱私權保護的歐洲進行交易。如果任何一家公司接受了“安全港”原則卻不遵守,就會受到美國聯邦交易委員會的制裁?！鞍踩邸蹦Ｊ诫m然建立在美國和歐盟模式的妥協(xié)之上,卻兼采了二者之長,不僅有詳細的判定網絡隱私侵權的標準,而且能夠根據不同行業(yè)的不同特點實行不同的標準,兼具行業(yè)自律和委員會監(jiān)督模式之優(yōu)勢,背后還有委員會的宏觀監(jiān)督和對網絡用戶的終局救濟,①秦天寧:《從美國安全港提議透析我國的網絡隱私權保護模式》,《法制與社會》2007年第9期。成為網絡隱私保護的新趨勢。然而這一模式主要適用于貿易領域,日常網絡生活領域隱私的侵犯相較商業(yè)領域更難發(fā)覺和規(guī)制,還需要建立健全相應的保護機制。

三、信息網絡風險下隱私權的法律保護機制

今天的隱私權已不再是傳統(tǒng)的隱私權了,面對互聯網帶來的便利和風險,隱私權的內容和侵犯方式發(fā)生了重要轉變,按主體分類,可分為個人侵權行為、商業(yè)公司侵權行為、網絡服務商侵權行為、設備供應商侵權行為和雇主侵權行為等。按侵犯領域分類,可以分為侵犯私人數據的行為,如個人未經授權在網絡上宣揚、公開或轉讓他人或自己和他人之間的隱私,個人未經授權進入他人系統(tǒng)收集獲得資料或打擾他人安寧,未經授權截獲或復制他人正在傳遞的電子信息,專門從事網上調查業(yè)務的公司進行窺探業(yè)務非法獲取、利用他人隱私,有些軟件和硬件廠商在自己銷售的產品中為收集消費者的隱私埋下了伏筆等;侵犯私人領域的行為,如個人制造、傳播計算機病毒,垃圾郵件泛濫等;侵犯私人活動的行為,如某些網絡公司使用具有跟蹤功能的cookie工具瀏覽和定時跟蹤用戶網站上所進行的操作,cookie將自動記錄用戶訪問的站點和內容,并將詳細資料發(fā)送到網絡公司,網絡公司根據這些資料掌握個人的情況,并建立龐大的資料庫,某些網絡的所有者或管理者會通過網絡中心監(jiān)視或竊聽局域網內的其他電腦,監(jiān)控網內人員的電子郵件。隱私權在信息網絡環(huán)境下所面臨的風險的增加要求我們選擇更加適應風險邏輯的保護對策和機制?！霸诠诺涔I(yè)社會中,財富生產的邏輯統(tǒng)治著風險生產的邏輯,而在風險社會中,這種關系就顛倒了過來。”②[德]烏爾里?！へ惪?《風險社會》,何博聞譯,譯林出版社2004年版,第6頁。不再是過去決定現在、現在影響未來,而是未來威脅的陰影強迫我們作出決策,而決策將不得不圍繞未來網絡可能對隱私權造成侵害的威脅而不是幸福和便利來籌劃。在風險社會,法律也不再是單純的技術、事實問題,而是要考慮人們的情感從“我需要”到“我害怕”的轉變,關注結合了事實和價值、技術和人性的“數字化的道德”。在風險社會中,只有制定適合風險邏輯的法律,并輔以相關制度的完善,才能解決信息網絡風險下隱私權的保護問題。

第一,兼采美國和歐盟保護模式之長,以“安全港”模式為核心,構建我國的特色保護模式。美國和歐盟的網絡隱私保護模式各有特色,經過多年的發(fā)展,均形成了較為全面的、體系化的保護。然而在我國,無論是行業(yè)自律還是立法規(guī)制都處于空白狀態(tài)。雖然中國網絡行業(yè)協(xié)會相繼制定了《中國互聯網行業(yè)自律公約》、《互聯網信息服務管理辦法》、《互聯網電子郵件服務管理辦法》、《垃圾郵件防范處理指南》等,然而這些公約只有倡議性質,缺乏約束力;而且公約只限于原則規(guī)定,并無詳細標準和保護措施。我國立法上并無隱私權的概念,有關隱私保護的規(guī)定也只是零星的法條,并不成體系。目前我國憲法、民法、刑法中都未明確隱私權的概念,只是通過名譽權以及住宅不受侵犯、通信自由和通信秘密等來間接保護公民的隱私權,如憲法第39條:“中華人民共和國公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅?！睉椃ǖ?0條:“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要,由公安機關或者檢察機關依照法律規(guī)定的程序對通信進行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密?！毙谭ǖ?45條規(guī)定了“非法搜查罪、非法侵入住宅罪”,第252條規(guī)定了“侵犯通信自由罪”,第284條規(guī)定了“非法使用竊聽、竊照專用器材罪”。民事方面,1990年最高人民法院在《關于貫徹執(zhí)行〈中華人民共和國民法通則〉若干問題的意見》第160條中規(guī)定:“以書面口頭等形式宣傳他人隱私,或者捏造事實公然丑化他人人格,以及用侮辱、誹謗等方式損害他人名譽,造成一定影響的,應當認定為侵害公民名譽權的行為?！?993年,最高人民法院在《關于審理名譽權案件若干問題的解答》第7條第3款中規(guī)定:“未經他人同意,擅自公布他人的隱私材料或以書面、口頭形式宣揚他人隱私,致使他人名譽受到損害的,按照侵害他人名譽權處理?！?001年,最高人民法院《關于確定民事侵權精神損害賠償責任若干問題的解釋》第3條第2款規(guī)定:“非法披露、利用死者隱私,其近親屬因此遭受精神痛苦,向人民法院起訴請求賠償精神損害的,人民法院應當依法予以受理?！辈粌H《民法通則》中從未出現隱私權的概念,司法解釋中也是將隱私權放在名譽權的名義下進行保護。散落在我國《民事訴訟法》、《刑事訴訟法》、《未成年人保護法》、《預防未成年人犯罪法》、《婦女權益保護法》、《消費者權益保護法》、《律師法》、《商業(yè)銀行法》、《統(tǒng)計法》、《證券法》等法律法規(guī)中的有關規(guī)定,只是對訴訟當事人、未成年人、婦女、消費者、訴訟當事人、存款人等信息的零星保障?？傊?各種立法只關注自己領域的隱私保護,不僅互相之間難以銜接,也必然留下保護不周的空白地帶,不利于對隱私權的系統(tǒng)、完善保護。2008年全國人大常委會審議的《侵權責任法草案》第47條規(guī)定:“采取披露、宣揚、窺視、竊聽、偷拍、騷擾等方式,侵害他人私人信息、私人活動或私人空間,侵害生活安寧,造成損害的,應當承擔停止侵害、賠禮道歉、賠償損失等侵權責任。”然而最終出臺的侵權責任法卻并未采用這一條,隱私權在我國立法上至今仍處于身份不明的狀態(tài)。至于網絡隱私更是處在立法層次低、體系混亂的狀態(tài)下。我國無專門的針對信息網絡風險下隱私權保護的正式立法,只有刑法有第286條“破壞計算機信息系統(tǒng)罪”和2009年通過的刑法修正案(七)中增設的對出售、非法提供、非法獲取個人信息行為的懲罰,其罪狀設置不能涵蓋侵犯隱私的所有嚴重行為,和其他法條也多有沖突。涉及相關內容的只有部門的文件,如1996年郵電部的《中國公用計算機互聯網國際聯網管理辦法》、1997年國務院信息化工作領導小組的《計算機信息網絡國際聯網管理暫行規(guī)定實施辦法》、2000年信息產業(yè)部的《互聯網電子公告服務管理規(guī)定》和2000年的《全國人民代表大會常務委員會關于維護互聯網安全的決定》等,只象征性地涉及了隱私權的保護,但并不系統(tǒng)。因而筆者認為我國不僅應該加快行業(yè)保護標準的制定和行業(yè)監(jiān)督的完善,使行業(yè)自律成為網絡隱私權最基礎的保護,①參見謝守分:《網絡個人隱私保護的行業(yè)自律模式》,載“北大信息法律網”,http://www.chinalawinfo.com/research/academy/details.asplid =622,2010年10月27日。而且應該逐漸建立相關的法律法規(guī)體系,完善對隱私權相關內容的保護。在兼采行業(yè)自律和立法規(guī)制模式之長的基礎上,我國也可以借鑒“安全港”模式,它雖然主要用在貿易中,但對日常生活及行政領域的網絡隱私保護也有很多啟發(fā)。鑒于我國相關立法經驗較少,一時難以確定完善、準確的標準,可以采用“安全港”或企業(yè)隱私保護標準認證制度,通過各行業(yè)的申報和分層級的協(xié)議或認證,給用戶提供一種隱私保護參考指標,并為立法提供具體的標準和措施,促進我國法律不斷完善。

第二,構建和完善針對信息網絡風險下隱私權保護的法律體系。我國憲法第38條規(guī)定:“中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方式對公民進行侮辱、誹謗和誣告陷害?！睉椃▽Α叭烁褡饑馈钡目隙ò岛吮Ｗo其他雖未明確列舉、但為保障人格尊嚴而不可或缺的權利的必要性,為隱私權的保護提供了原則性支持。我國應該在憲法的指導思想下建立和完善民法、刑法、行政法體系,以完善基本人權保護制度,并加快網絡隱私權保護的專門立法,應對信息網絡風險給隱私權帶來的挑戰(zhàn)。有學者呼吁首先在立法上明確隱私權的概念,但在筆者看來,英、德等國并無隱私權的概念,對其保護也并未偏廢,因而只要制度合理有效,是否引入隱私權的概念并不重要。也有學者鑒于網絡風險對隱私權的挑戰(zhàn),提出了“網絡隱私權”的概念,旨在加強保護。然而在筆者看來,“網絡隱私權”和傳統(tǒng)隱私權并沒有本質的區(qū)別,都是個人關于不愿被外界知曉、不愿公開的私人信息、活動、領域的權利,只不過網絡的到來為隱私權增加了更多的內容,侵犯隱私權的途徑、方式更多,侵害的后果也更加嚴重;況且“網絡隱私權”的概念過于狹窄,容易造成立法和現實的過快或過分脫節(jié)。既然隱私權概念在立法中尚且不是必須,“網絡隱私權”的概念就更無必要。

雖然無須針對隱私權或“網絡隱私權”進行概念化或法典化,但筆者認為,個人數據作為信息網絡風險下最容易受到侵害、侵害后果也最為嚴重的一個部分,應該制定《個人數據(或信息)保護法》予以重點保護。個人數據的保護應該明確個人數據權利,如支配權、知情權、更正權、利用權等。規(guī)制個人數據的收集、持有、使用和披露等行為:個人數據的收集首先必須取得本人的同意,不得擅自進入用戶的私人空間進行收集。對未成年人數據的收集,還應得到其監(jiān)護人的同意;其次,個人數據的收集必須合法,即從法律上明確規(guī)定收集數據的權力依據和程序要求,政府機構只能收集與其本身職能有關的個人數據,私人機構的收集行為必須依照法律的規(guī)定取得主管機關的許可并依照法定程序方能進行;最后,必須向數據當事人說明數據使用的目的、范圍。在個人數據的處理中,首先要求處理的必須是經合法收集、持有的數據;其次,持有的個人數據的內容必須是真實準確的,如果有誤應允許本人修改;最后,私人或私人機構對個人數據進行處理時,不得非法侵害數據主體的人格權。在個人數據的披露和公開中,首先要求任何數據的公開都必須經本人同意,除非是常規(guī)使用或法律特別許可;其次,對個人數據的查詢和公開,都必須有完整的記錄;再次,政府對其控制的資料中與私人有關的以及會對隱私造成不必要損害的資料必須保密,學校、醫(yī)院等公共機構掌握的個人資料只能提供給合法的收集人,不得隨意公開等。在這部立法的基礎上進一步完善對個人領域和活動的立法保護,如制定《反垃圾郵件法》、《網絡監(jiān)視、監(jiān)聽法》等,構筑以《個人數據保護法》為核心的隱私保護法律體系。

第三,明確信息網絡風險下隱私侵權的責任邏輯。“有權利就有救濟”,在規(guī)定了潛在侵權人的義務后,責任的配置是義務能否得到切實履行的關鍵;與此同時,信息網絡風險的來臨也要求法律重新分配責任,解決“有組織的不負責任”問題。徐顯明教授指出:“如何使公共權力尊重人的尊嚴,是隱私權成立與否的根本?！雹傩祜@明:《人權建設三愿》,載徐顯明主編:《人權研究》(第二卷),山東人民出版社2002年版,序言。政府對個人隱私的侵犯一直是隱私的頭號殺手,因此我們仍然需要在提高政府工作人員素質的同時,加強立法規(guī)制政府在收集、使用、披露公民隱私時遵循正當的程序和內容,有正當的目的和權限,由正當的主體實施,逐步完善行政復議、行政訴訟等救濟制度,并加強人大、媒體、公眾等各方面的監(jiān)督。如果政府在收集、使用和披露私人數據時不遵守法律的規(guī)定,非法侵入私人領域,監(jiān)視私人活動,或未能履行監(jiān)督網絡環(huán)境、懲治侵權行為的職責等,可以要求政府或其工作人員承擔行政責任或刑事責任,如果給用戶造成了損害,也可要求其承擔相應的國家賠償責任。

在風險社會,更多的網絡侵權來自于個人、企業(yè)和網絡服務商。一方面商業(yè)利益誘惑著他們通過各種渠道收集私人信息、或將所獲得的信息轉賣給他人,另一方面隱私保護的成本又阻礙了他們采取保護技術和標準。政府侵權即使并未減輕,也已相對不是最嚴重的了。雖然政府在監(jiān)督行業(yè)問題上有更強大的技術能力和資金后盾,但我們一方面反對稅收的無限增長,想要一個能夠不侵犯公民基本自由的有限政府,另一方面又想要政府無所不管,這顯然是不可能的。因此,筆者認為,面對網絡給隱私權帶來的風險,我們應該將主要的保護責任分配給私主體。②在貝克看來,新的風險社會應該將風險的舉證責任置于肇事者,讓其承擔證明不存在風險的責任;同時把由個人單獨面對和承擔的風險費用轉回到大企業(yè)身上,因為企業(yè)可以使用較少的成本就可以防止較大的風險,也更符合成本與收益的經濟學態(tài)度。具體來說,對于非法收集、使用和披露私人數據的行為,非法侵入私人領域,制造、傳播病毒,發(fā)送垃圾郵件,監(jiān)視私人郵件、網絡瀏覽情況等,當事人有權要求行為人承擔停止侵害、消除影響、恢復原狀、賠償損失等損害賠償責任。對于設備供應商提供具有私人數據收集功能的設備,網絡服務商擅自追蹤用戶的上網習慣、收集用戶數據、倒賣用戶資料等行為,用戶也可以要求其承擔相應的民事責任。對于設備供應商或網絡服務商雖未直接或故意侵犯隱私權,而是過失未盡到審查、注意義務的,應該承擔補充責任;如果明知他人利用其網站或技術侵權而不采取行動的,我國侵權法已經為其配置了連帶責任。③《侵權責任法》第36條:“網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的,應當承擔侵權責任。網絡用戶利用網絡服務實施侵權行為的,被侵權人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。網絡服務提供者接到通知后未及時采取必要措施的,對損害的擴大部分與該網絡用戶承擔連帶責任。網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益,未采取必要措施的,與該網絡用戶承擔連帶責任。”對于上述行為,如果情節(jié)嚴重的還可要求其承擔行政責任或刑事責任。

第四,建立專門的網絡行為規(guī)制機構?！巴椒ú蛔阋宰孕小?在對網絡行為的規(guī)制中,專門的政府機構是這一機制得以運行的重要保障。已有不少國家建立了此類機構,如依據歐盟《個人數據保護指令》第6章第28條的規(guī)定,各成員國應當設立一個或多個專門的機構負責獨立地監(jiān)督個人信息保護法的實施,凡制定的法律法規(guī)中涉及個人信息的,有關部門應當咨詢該機構的意見;同時,該機構享有相應的調查權、依照職權或者依照有關當事人的申請而對相應的違法行為進行查處的權力以及通過介入訴訟維護法律實施的權力等。④參見周漢華:《制定中國個人信息保護法的幾個問題》,載《個人信息保護前沿問題研究》,法律出版社2006年版,第239頁。我國香港特別行政區(qū)也設立了“香港個人資料私隱專員公署”,其職能便是采取推廣、監(jiān)察及督導措施,促使民眾遵守《個人資料(私隱)條例》,確保個人隱私信息得到保障。瑞典也成立了作為國家行政機構的“瑞典數據監(jiān)督局”,負責對建立或繼續(xù)經營個人信息系統(tǒng)的個人或組織進行審批和監(jiān)督。無論從我國侵權行為猖獗的現實,還是從國外的優(yōu)秀制度經驗來說,我們都應建立專門的網絡行為規(guī)制機構,負責貫徹《個人數據保護法》等法律法規(guī),審批信息系統(tǒng)的建立,監(jiān)督其經營,接受并監(jiān)督企業(yè)與政府制定的網絡隱私保護協(xié)議,監(jiān)控網絡行為并處理此類爭議。

總之,一個社會不僅需要激勵機制,也需要穩(wěn)定(安慰)機制,對于網絡隱私的保護,我們不僅需要各種認證、鼓勵制度激勵企業(yè)、網站采取保護措施,也需要完善的法律系統(tǒng)和政府監(jiān)督部門規(guī)制其達到保護標準,如此方能應對信息網絡風險給隱私權帶來的挑戰(zhàn)。

(責任編輯:周文升wszhou66@126.com)

D90

A

1003—4145[2011]01—0020—06

2010-12-03

范進學,上海交通大學凱原法學院教授、博士生導師;張玉潔,山東大學法學院2009級法學理論專業(yè)研究生。